李民 蔡鵬遠(yuǎn)

[摘要]以商業(yè)銀行業(yè)務(wù)連續(xù)性管理審計(jì)為例，通過(guò)審計(jì)重點(diǎn)解析、審計(jì)方法及案例分析，對(duì)內(nèi)部審計(jì)促進(jìn)組織在重大突發(fā)事件下改善業(yè)務(wù)連續(xù)性管理水平、提升安全運(yùn)營(yíng)能力效果進(jìn)行了論證。研究認(rèn)為，全面堅(jiān)持總體國(guó)家安全觀，商業(yè)銀行內(nèi)部審計(jì)通過(guò)業(yè)務(wù)連續(xù)性管理審計(jì)，可以幫助商業(yè)銀行提升業(yè)務(wù)連續(xù)性管理水平，減少運(yùn)營(yíng)中斷事件，提升業(yè)務(wù)運(yùn)營(yíng)穩(wěn)定性和安全性。

[關(guān)鍵詞]業(yè)務(wù)連續(xù)性管理? ?商業(yè)銀行? ?內(nèi)部審計(jì)? ?發(fā)展和安全

一、引言

統(tǒng)籌發(fā)展和安全，既是重大的理論問(wèn)題，也是對(duì)實(shí)踐的重要要求，更是商業(yè)銀行實(shí)現(xiàn)高質(zhì)量發(fā)展和高水平安全的必由之路。進(jìn)入21世紀(jì)以來(lái)，我國(guó)商業(yè)銀行快速發(fā)展，經(jīng)營(yíng)領(lǐng)域不斷拓展，信息系統(tǒng)架構(gòu)變化較大，業(yè)務(wù)運(yùn)行復(fù)雜性持續(xù)上升。比如，隨著科技發(fā)展，商業(yè)銀行對(duì)信息系統(tǒng)依賴程度越來(lái)越高，各類(lèi)新技術(shù)、軟硬件的引入也對(duì)信息系統(tǒng)的穩(wěn)定運(yùn)行帶來(lái)一定影響。與此同時(shí)，隨著普惠金融拓展，線上支付交易、金融市場(chǎng)等業(yè)務(wù)使得商業(yè)銀行業(yè)務(wù)連續(xù)性安全面臨著更嚴(yán)峻的挑戰(zhàn)。

二、政策制度概述

（一）國(guó)際組織對(duì)業(yè)務(wù)連續(xù)性的定義

2006年8月，巴塞爾銀行監(jiān)管委員會(huì)及國(guó)際證監(jiān)會(huì)組織等國(guó)際監(jiān)管組織發(fā)表了《業(yè)務(wù)連續(xù)性的高級(jí)別原則》（以下簡(jiǎn)稱《原則》），在國(guó)際層面統(tǒng)一對(duì)商業(yè)銀行業(yè)務(wù)連續(xù)性（Business Continuity，簡(jiǎn)稱BC）提出了要求?！对瓌t》詳細(xì)說(shuō)明了金融機(jī)構(gòu)和金融體系確保業(yè)務(wù)連續(xù)性的重要意義，指出業(yè)務(wù)連續(xù)性是金融機(jī)構(gòu)和金融監(jiān)管機(jī)構(gòu)一直以來(lái)的最高任務(wù)?！对瓌t》認(rèn)為，確保金融體系在重大突發(fā)事件之下仍能保持韌性是金融機(jī)構(gòu)和金融監(jiān)管機(jī)構(gòu)共同利益所在。

國(guó)際清算銀行（BIS）等監(jiān)管組織認(rèn)為，業(yè)務(wù)連續(xù)性是指業(yè)務(wù)連續(xù)的、不中斷的持續(xù)運(yùn)營(yíng)狀態(tài)。美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)（FFIEC）認(rèn)為，業(yè)務(wù)連續(xù)性管理（Business Continuity Management，簡(jiǎn)稱BCM）是指金融機(jī)構(gòu)為保護(hù)員工、客戶利益以及產(chǎn)品服務(wù)不會(huì)中斷而采取的提升韌性、連續(xù)性、危機(jī)響應(yīng)等相關(guān)舉措的管理流程。

國(guó)際標(biāo)準(zhǔn)化組織（ISO）于2019年10月發(fā)布了新修訂的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)，與2012年第一版相比，名稱由“公共安全-業(yè)務(wù)連續(xù)性管理體系要求”更新為“安全與韌性-業(yè)務(wù)連續(xù)性管理體系要求”。由此可見(jiàn)，業(yè)務(wù)連續(xù)性管理國(guó)際化實(shí)踐更加迎合了“韌性社會(huì)”的發(fā)展潮流，更加注重組織應(yīng)對(duì)各類(lèi)重大突發(fā)事件，并對(duì)脆弱性進(jìn)行識(shí)別與管控，從而增強(qiáng)組織韌性以保持業(yè)務(wù)連續(xù)。

（二）國(guó)內(nèi)對(duì)商業(yè)銀行業(yè)務(wù)連續(xù)性管理要求

商業(yè)銀行對(duì)業(yè)務(wù)連續(xù)性方面的要求近乎苛刻，采用業(yè)內(nèi)最高標(biāo)準(zhǔn)進(jìn)行系統(tǒng)的規(guī)劃、設(shè)計(jì)和構(gòu)建。近年來(lái)，國(guó)內(nèi)銀行發(fā)生的重大突發(fā)中斷事件表明，盡管商業(yè)銀行災(zāi)難恢復(fù)和數(shù)據(jù)保全方面已經(jīng)較為完善，但仍不可避免發(fā)生中斷事件，而業(yè)務(wù)連續(xù)性管理所解決的就是一旦發(fā)生重大突發(fā)事件，企業(yè)能夠在多長(zhǎng)時(shí)間內(nèi)恢復(fù)多少業(yè)務(wù)的問(wèn)題。

金融監(jiān)管機(jī)構(gòu)十分重視商業(yè)銀行業(yè)務(wù)連續(xù)性管理體系建設(shè)。2010年，原銀監(jiān)會(huì)發(fā)布《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》，已經(jīng)提及了災(zāi)難恢復(fù)管理。2011年原銀監(jiān)會(huì)專(zhuān)門(mén)針對(duì)業(yè)務(wù)連續(xù)性管理下發(fā)《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》，這些足見(jiàn)我國(guó)監(jiān)管機(jī)構(gòu)對(duì)商業(yè)銀行業(yè)務(wù)的連續(xù)性管理的高度重視。

三、商業(yè)銀行業(yè)務(wù)連續(xù)性管理面臨的挑戰(zhàn)

當(dāng)前，全球經(jīng)濟(jì)一體化，商業(yè)銀行提供的金融服務(wù)包括支付結(jié)算服務(wù)、存貸款服務(wù)、轉(zhuǎn)賬服務(wù)和募集資金等投融資服務(wù)，對(duì)于促進(jìn)社會(huì)經(jīng)濟(jì)穩(wěn)定運(yùn)行起到了重要作用，但商業(yè)銀行同時(shí)也面臨以下重要挑戰(zhàn)：

1.境內(nèi)外商業(yè)銀行的耦合性日益緊密。隨著社會(huì)資金周轉(zhuǎn)速度加快，商業(yè)銀行之間相互關(guān)聯(lián)性也進(jìn)一步增強(qiáng)。關(guān)聯(lián)性的增強(qiáng)，使得結(jié)算風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)在金融體系之中擴(kuò)散風(fēng)險(xiǎn)加大。因此，即使是單個(gè)銀行業(yè)務(wù)發(fā)生中斷，也有可能將風(fēng)險(xiǎn)傳導(dǎo)至其他商業(yè)銀行。

2.商業(yè)銀行清算和結(jié)算服務(wù)的重要性。比如，在突發(fā)事件中清算和結(jié)算服務(wù)發(fā)生中斷，將可能導(dǎo)致重要參與者無(wú)法完成資金轉(zhuǎn)移、難以償付其應(yīng)償資金，從而對(duì)金融體系產(chǎn)生重大負(fù)面影響。

3.各類(lèi)非傳統(tǒng)安全風(fēng)險(xiǎn)和突發(fā)事件的概率有所提升。突發(fā)公共衛(wèi)生事件、氣候變化等因素的影響，對(duì)于商業(yè)銀行保持業(yè)務(wù)連續(xù)性也提出了挑戰(zhàn)。

4.信息系統(tǒng)架構(gòu)轉(zhuǎn)型帶來(lái)的技術(shù)風(fēng)險(xiǎn)持續(xù)增加。在總體國(guó)家安全觀背景下，商業(yè)銀行正逐步以國(guó)產(chǎn)化軟硬件替代國(guó)外同類(lèi)產(chǎn)品。但從客觀上分析，國(guó)產(chǎn)化產(chǎn)品在質(zhì)量、性能和成熟度上還與國(guó)外產(chǎn)品存在一定差距，從而也對(duì)商業(yè)銀行信息系統(tǒng)連續(xù)性管理造成了一定影響。

四、商業(yè)銀行業(yè)務(wù)連續(xù)性管理審計(jì)有效實(shí)踐

內(nèi)部審計(jì)部門(mén)作為商業(yè)銀行風(fēng)險(xiǎn)管理的第三道防線，有責(zé)任、有義務(wù)在業(yè)務(wù)連續(xù)性管理方面為組織統(tǒng)籌發(fā)展與安全提供風(fēng)險(xiǎn)確認(rèn)和咨詢服務(wù)。

（一）業(yè)務(wù)連續(xù)性管理審計(jì)要點(diǎn)分析

商業(yè)銀行業(yè)務(wù)連續(xù)性管理審計(jì)主要包括以下五個(gè)領(lǐng)域：業(yè)務(wù)連續(xù)性組織架構(gòu)、業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性計(jì)劃和資源建設(shè)、業(yè)務(wù)連續(xù)性演練與持續(xù)改進(jìn)、運(yùn)營(yíng)中斷事件應(yīng)急處置。按審計(jì)對(duì)象可分為總部、科技中心、綜合化子公司、全國(guó)業(yè)務(wù)集中處理中心、境內(nèi)分行、境外機(jī)構(gòu)等6個(gè)層面。

1.業(yè)務(wù)連續(xù)性組織架構(gòu)。管理層對(duì)于業(yè)務(wù)連續(xù)性管理具有監(jiān)督和審查等職責(zé)，其重視程度和應(yīng)對(duì)策略判斷會(huì)對(duì)機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理的執(zhí)行起到?jīng)Q定性作用。管理層需要從宏觀角度評(píng)估業(yè)務(wù)連續(xù)性的潛在風(fēng)險(xiǎn)，并設(shè)定長(zhǎng)期和短期連續(xù)性目標(biāo)，采取相關(guān)策略和計(jì)劃來(lái)實(shí)現(xiàn)相應(yīng)目標(biāo)，增強(qiáng)業(yè)務(wù)的韌性，然后，根據(jù)培訓(xùn)、測(cè)試和監(jiān)測(cè)的反饋結(jié)果來(lái)更新業(yè)務(wù)連續(xù)性目標(biāo)、計(jì)劃等一系列內(nèi)容，審計(jì)重點(diǎn)見(jiàn)表1。

2.業(yè)務(wù)影響分析。商業(yè)銀行業(yè)務(wù)連續(xù)性管理實(shí)際執(zhí)行過(guò)程中，業(yè)務(wù)影響分析（Business Impact Analysis，簡(jiǎn)稱BIA）是業(yè)務(wù)連續(xù)性管理的基石。業(yè)務(wù)影響分析是指對(duì)可能造成業(yè)務(wù)中斷事件進(jìn)行識(shí)別，并對(duì)其潛在沖擊強(qiáng)度進(jìn)行分析，包括關(guān)鍵業(yè)務(wù)職能識(shí)別、相互依賴性分析和中斷影響，其結(jié)果直接決定對(duì)應(yīng)信息系統(tǒng)恢復(fù)目標(biāo)，審計(jì)重點(diǎn)見(jiàn)表2。

3.業(yè)務(wù)連續(xù)性計(jì)劃和資源建設(shè)。作為業(yè)務(wù)連續(xù)性管理最為重要的部分，商業(yè)銀行應(yīng)根據(jù)機(jī)構(gòu)規(guī)模和復(fù)雜性提前就業(yè)務(wù)連續(xù)性計(jì)劃（Business Continuity Plan，簡(jiǎn)稱BCP）設(shè)置足夠細(xì)節(jié)化的安排，而且BCP應(yīng)當(dāng)是動(dòng)態(tài)文件，定期根據(jù)組織架構(gòu)和業(yè)務(wù)特性等內(nèi)容進(jìn)行更新。同時(shí)，商業(yè)銀行業(yè)務(wù)應(yīng)分配BCP所需資源，滿足業(yè)務(wù)恢復(fù)目標(biāo)和重要業(yè)務(wù)持續(xù)運(yùn)營(yíng)要求。對(duì)于商業(yè)銀行，科技中心和業(yè)務(wù)部門(mén)的資源建設(shè)同樣重要，審計(jì)重點(diǎn)見(jiàn)表3。

4.業(yè)務(wù)連續(xù)性演練與持續(xù)改進(jìn)。商業(yè)銀行應(yīng)定期開(kāi)展業(yè)務(wù)連續(xù)性測(cè)試和演練，以此來(lái)評(píng)估BCP等內(nèi)容是否符合業(yè)務(wù)連續(xù)性目標(biāo)。從演練模式上來(lái)看，可以分為三種：一是全面演練，全面演練可以充分監(jiān)測(cè)所有可供使用的資源（包括人員和信息系統(tǒng)）是否可以在最大限度上幫助商業(yè)銀行保持業(yè)務(wù)連續(xù)性。全面演練可以幫助管理層更為準(zhǔn)確識(shí)別關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)部門(mén)之間的關(guān)聯(lián)性。二是有限規(guī)模演練。有限規(guī)模演練往往是針對(duì)特定業(yè)務(wù)環(huán)節(jié)或業(yè)務(wù)條線在特定環(huán)境下是否能保持業(yè)務(wù)連續(xù)性來(lái)進(jìn)行的演練。三是桌面演練。桌面演練即為負(fù)責(zé)業(yè)務(wù)連續(xù)性的人員對(duì)其在特定情況下所應(yīng)扮演的角色和應(yīng)負(fù)責(zé)任的討論，其目標(biāo)在于確定業(yè)務(wù)連續(xù)性計(jì)劃對(duì)于個(gè)人職責(zé)和相應(yīng)目標(biāo)安排的合理性。最為重要的目的是在其中發(fā)現(xiàn)業(yè)務(wù)連續(xù)性管理漏洞和潛在值得改進(jìn)的地方，因此在進(jìn)行演練和測(cè)試后，應(yīng)進(jìn)行針對(duì)性改進(jìn)，確保業(yè)務(wù)連續(xù)性管理能夠滿足目標(biāo)，審計(jì)重點(diǎn)見(jiàn)表4。

5.運(yùn)營(yíng)中斷事件應(yīng)急處置。處置重大運(yùn)營(yíng)中斷突發(fā)事件是檢驗(yàn)商業(yè)銀行業(yè)務(wù)連續(xù)性管理水平高低的唯一標(biāo)準(zhǔn)。商業(yè)銀行應(yīng)對(duì)自身業(yè)務(wù)及信息系統(tǒng)運(yùn)行建立日常監(jiān)控體系，合理劃定運(yùn)營(yíng)中斷等級(jí)，并完善應(yīng)急管理預(yù)案，強(qiáng)化應(yīng)急保障管理和對(duì)外公關(guān)，在發(fā)生運(yùn)行中斷事件時(shí)全方位減少對(duì)組織的影響，審計(jì)重點(diǎn)見(jiàn)表5。

（二）審計(jì)方式及案例分析

業(yè)務(wù)連續(xù)性審計(jì)是對(duì)管理、業(yè)務(wù)、科技多個(gè)不同專(zhuān)業(yè)的綜合性審計(jì)。針對(duì)業(yè)務(wù)連續(xù)性管理中的各個(gè)環(huán)節(jié)、領(lǐng)域和流程，評(píng)價(jià)其風(fēng)險(xiǎn)控制效果。內(nèi)部審計(jì)部門(mén)可以通過(guò)現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)方式，運(yùn)用信息技術(shù)特別是大數(shù)據(jù)分析技術(shù)，及時(shí)準(zhǔn)確把握風(fēng)險(xiǎn)熱點(diǎn)。

1.開(kāi)展專(zhuān)題分析，直擊關(guān)鍵環(huán)節(jié)。商業(yè)銀行不同業(yè)務(wù)和信息系統(tǒng)之間存在著復(fù)雜的調(diào)用關(guān)系，這些關(guān)系互相嵌套，對(duì)業(yè)務(wù)連續(xù)性的管理帶來(lái)一定難度。業(yè)務(wù)連續(xù)性管理中的一大重點(diǎn)就是要對(duì)關(guān)鍵業(yè)務(wù)職能的識(shí)別進(jìn)行相互依賴性分析和中斷的影響評(píng)估。對(duì)于部分高災(zāi)備等級(jí)業(yè)務(wù)或系統(tǒng)需調(diào)用的低災(zāi)備等級(jí)業(yè)務(wù)，但出現(xiàn)底層業(yè)務(wù)或系統(tǒng)中斷時(shí)，將直接影響調(diào)閱其的重要業(yè)務(wù)或系統(tǒng)的可用性。

案例1：重要信息系統(tǒng)災(zāi)難恢復(fù)調(diào)用基礎(chǔ)應(yīng)用存在不可用隱患。比如，某商業(yè)銀行已將所有信息系統(tǒng)應(yīng)急預(yù)案通過(guò)應(yīng)急管理平臺(tái)進(jìn)行管理，不再維護(hù)紙質(zhì)應(yīng)急預(yù)案。但該平臺(tái)災(zāi)備等級(jí)較低，對(duì)應(yīng)的系統(tǒng)恢復(fù)時(shí)間和數(shù)據(jù)恢復(fù)點(diǎn)均為7天。在災(zāi)難環(huán)境下，上述應(yīng)用將無(wú)法及時(shí)恢復(fù)，導(dǎo)致存儲(chǔ)于上述應(yīng)用的所有應(yīng)急預(yù)案無(wú)法獲取，如果此時(shí)再發(fā)生其他業(yè)務(wù)或信息系統(tǒng)等生產(chǎn)中斷事件，將影響信息系統(tǒng)的應(yīng)急處置工作，導(dǎo)致系統(tǒng)恢復(fù)時(shí)間延長(zhǎng)。

2.強(qiáng)化數(shù)據(jù)分析，瞄準(zhǔn)業(yè)務(wù)疑點(diǎn)。內(nèi)部審計(jì)通過(guò)數(shù)據(jù)分析，建立審計(jì)分析模型尋找風(fēng)險(xiǎn)線索已是普遍的審計(jì)方式。通過(guò)模型分析，一是可以擴(kuò)大審計(jì)樣本量，實(shí)現(xiàn)全量審計(jì);二是可以大幅降低審計(jì)成本，提高審計(jì)效率。審計(jì)人員通過(guò)對(duì)銀行網(wǎng)點(diǎn)日均業(yè)務(wù)量分析，發(fā)現(xiàn)部分網(wǎng)點(diǎn)交易量存在異常，為商業(yè)銀行基層機(jī)構(gòu)連續(xù)性管理提供審計(jì)線索。

案例2：部分網(wǎng)點(diǎn)交易量較平均值大幅下降。通過(guò)對(duì)2020年以來(lái)某商業(yè)銀行所有網(wǎng)點(diǎn)日均交易量的數(shù)據(jù)分析和建模，得到了一批工作日無(wú)交易量或交易量大幅下降的網(wǎng)點(diǎn)清單，通過(guò)進(jìn)一步分析清除部分少數(shù)民族節(jié)假日、網(wǎng)點(diǎn)裝修、市政計(jì)劃內(nèi)停電等干擾因素，最終確認(rèn)了多家網(wǎng)點(diǎn)由于水患、疫情封鎖等非正常原因造成運(yùn)營(yíng)中斷，涉及多個(gè)省份。

3.吸取歷史經(jīng)驗(yàn)，比照開(kāi)展審計(jì)。歷史總是驚人的巧合，在業(yè)務(wù)連續(xù)性管理中也不例外，內(nèi)部審計(jì)部門(mén)可以收集行業(yè)內(nèi)外、國(guó)內(nèi)外相關(guān)信息，從中提煉風(fēng)險(xiǎn)線索，對(duì)本機(jī)構(gòu)相關(guān)管理現(xiàn)狀開(kāi)展審計(jì)。

案例3：業(yè)務(wù)應(yīng)急預(yù)案部分場(chǎng)景不夠極端。在2003年SARS疫情前，香港證券及期貨事務(wù)監(jiān)察委員會(huì)（SFC）在舊版業(yè)務(wù)連續(xù)性計(jì)劃中，模擬的場(chǎng)景為部分員工由于突發(fā)事件無(wú)法前來(lái)上班，但是在面對(duì)SARS疫情時(shí)，出現(xiàn)由于單個(gè)員工被感染而導(dǎo)致整個(gè)部門(mén)被要求進(jìn)行醫(yī)學(xué)隔離的情況，因此以SFC為代表的金融監(jiān)管部門(mén)和商業(yè)銀行在此次事件后相應(yīng)調(diào)整了其業(yè)務(wù)連續(xù)性計(jì)劃。結(jié)合上述資料，內(nèi)審部門(mén)在對(duì)商業(yè)銀行部分機(jī)構(gòu)開(kāi)展審計(jì)時(shí)，也發(fā)現(xiàn)了存在類(lèi)似情況，如某機(jī)構(gòu)清算中心預(yù)案模擬就沒(méi)有設(shè)計(jì)由于疫情或其他因素造成辦公場(chǎng)地不可用、組織人員到備用場(chǎng)地開(kāi)展業(yè)務(wù)的應(yīng)急場(chǎng)景，同時(shí)在實(shí)際業(yè)務(wù)連續(xù)性資源建設(shè)中，也沒(méi)有制定和安排清算中心的備份工作場(chǎng)地及配套資源。當(dāng)發(fā)生此類(lèi)運(yùn)營(yíng)事件時(shí)，將導(dǎo)致該機(jī)構(gòu)的清算業(yè)務(wù)無(wú)法短時(shí)間恢復(fù)，造成業(yè)務(wù)中斷。

4.利用穿行測(cè)試，發(fā)現(xiàn)執(zhí)行漏洞。在審計(jì)過(guò)程中，內(nèi)部審計(jì)人員可以通過(guò)對(duì)業(yè)務(wù)連續(xù)性計(jì)劃和配套應(yīng)急預(yù)案開(kāi)展穿行測(cè)試，檢驗(yàn)計(jì)劃和預(yù)案內(nèi)容的準(zhǔn)確性、應(yīng)急步驟的可操作性。

案例4：科技中心未掌握最新外部技術(shù)支持和合作方聯(lián)系信息。外部技術(shù)支持和合作方聯(lián)系信息是科技中心連續(xù)性計(jì)劃中的重要信息。審計(jì)人員通過(guò)抽樣撥打外部技術(shù)支持和合作方聯(lián)系電話，發(fā)現(xiàn)存在XX家外部技術(shù)公司的XX名支持人員發(fā)生離職或換崗的情況。同時(shí)部分重要外部公司聯(lián)系人及聯(lián)系信息未納入統(tǒng)一管理，如沒(méi)有市政電力部門(mén)和發(fā)電機(jī)供油的外部公司聯(lián)系人情況及聯(lián)系信息。

五、審計(jì)效果與思考

（一）開(kāi)展業(yè)務(wù)連續(xù)性管理審計(jì)取得的效果

以工商銀行為例，通過(guò)近年來(lái)持續(xù)對(duì)業(yè)務(wù)連續(xù)性管理開(kāi)展審計(jì)，發(fā)現(xiàn)了管理、業(yè)務(wù)、科技條線中的各種風(fēng)險(xiǎn)，提出有價(jià)值的建議，提升組織業(yè)務(wù)連續(xù)性管理水平和質(zhì)量。雖然內(nèi)外部連續(xù)性風(fēng)險(xiǎn)事件沖擊不斷，但未發(fā)生重大運(yùn)營(yíng)中斷事件，特別是在新冠肺炎疫情期間，工商銀行保持了國(guó)內(nèi)、海外、疫區(qū)機(jī)構(gòu)業(yè)務(wù)正常開(kāi)展，提供了持續(xù)穩(wěn)定的金融服務(wù)。

根據(jù)內(nèi)部審計(jì)建議，工商銀行不斷完善自身業(yè)務(wù)連續(xù)性管理能力，將其從一個(gè)單一技術(shù)概念，發(fā)展成了一個(gè)涵蓋公司治理、風(fēng)險(xiǎn)管理、業(yè)務(wù)監(jiān)控、信息系統(tǒng)的復(fù)合型管理模式。2013年以來(lái)，工商銀行未發(fā)生全轄范圍內(nèi)的運(yùn)營(yíng)中斷事件，生產(chǎn)事件逐年降低，從2013年的20余起，逐漸降低到2020年的不足10起，降幅達(dá)到68%（見(jiàn)圖1）。

實(shí)踐證明，通過(guò)內(nèi)部審計(jì)活動(dòng)，可以幫助商業(yè)銀行提升業(yè)務(wù)連續(xù)性管理水平，減少運(yùn)營(yíng)中斷事件，提升業(yè)務(wù)運(yùn)營(yíng)穩(wěn)定性和安全性。

（二）進(jìn)一步完善業(yè)務(wù)連續(xù)性管理的四點(diǎn)思考

1.以業(yè)務(wù)連續(xù)性管理體系建設(shè)為指引，進(jìn)一步提升商業(yè)銀行安全運(yùn)營(yíng)能力。商業(yè)銀行必須從長(zhǎng)遠(yuǎn)戰(zhàn)略考慮，梳理可能引發(fā)業(yè)務(wù)中斷的各類(lèi)突發(fā)事件，深入思考極端條件下銀行如何安全穩(wěn)健運(yùn)行。從“既要高度警惕‘黑天鵝’事件，也要防范‘灰犀?！录眱蓚€(gè)方面，不斷優(yōu)化業(yè)務(wù)連續(xù)性計(jì)劃，并以此對(duì)照完善和檢驗(yàn)各類(lèi)應(yīng)急預(yù)案的針對(duì)性與可操作性，不斷促使技術(shù)預(yù)案與業(yè)務(wù)預(yù)案有機(jī)銜接。

2.按照業(yè)務(wù)連續(xù)性管理原理，開(kāi)展商業(yè)銀行全流程運(yùn)營(yíng)要素梳理。對(duì)引發(fā)業(yè)務(wù)運(yùn)營(yíng)中斷的事件進(jìn)行風(fēng)險(xiǎn)識(shí)別、評(píng)估與管控，按照“預(yù)警、處置、改進(jìn)”3個(gè)環(huán)節(jié)，實(shí)現(xiàn)對(duì)安全運(yùn)營(yíng)全鏈條的系統(tǒng)管理。善于運(yùn)用“底線思維”，做好最壞打算，運(yùn)用技術(shù)手段加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，提前預(yù)警。科學(xué)、合理地對(duì)連續(xù)性風(fēng)險(xiǎn)分級(jí)分類(lèi)，有針對(duì)性地做好預(yù)案與應(yīng)急準(zhǔn)備。

3.通過(guò)新技術(shù)、新工具，不斷完善連續(xù)性事件的監(jiān)控、預(yù)警、處置體系建設(shè)。商業(yè)銀行作為信息化程度非常高的行業(yè)，要利用好新技術(shù)和新工具對(duì)業(yè)務(wù)連續(xù)性事件開(kāi)展監(jiān)控、預(yù)警和處置。通過(guò)建設(shè)運(yùn)營(yíng)安全監(jiān)控體系，以數(shù)據(jù)分析和風(fēng)險(xiǎn)模型構(gòu)建為基礎(chǔ)，建設(shè)全機(jī)構(gòu)、全過(guò)程、智能化、一體化安全運(yùn)營(yíng)監(jiān)控體系和預(yù)警體系，確保商業(yè)銀行各項(xiàng)業(yè)務(wù)安全穩(wěn)定高效運(yùn)行，并不斷完善自動(dòng)化應(yīng)急處置工具和流程，減少連續(xù)性中斷事件的響應(yīng)時(shí)間，提高處置成功率。

4.堅(jiān)持總體國(guó)家安全觀，做好業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)建設(shè)、知識(shí)培訓(xùn)與推廣實(shí)施。與傳統(tǒng)安全管理理論實(shí)踐及方法相比，業(yè)務(wù)連續(xù)性管理體系更加全面系統(tǒng)考慮組織與社會(huì)的關(guān)系，把企業(yè)安全運(yùn)營(yíng)納入整個(gè)社會(huì)的公共安全體系。業(yè)務(wù)連續(xù)性管理從提出以來(lái)，其內(nèi)涵及要求也在不斷變化和完善，商業(yè)銀行應(yīng)該以業(yè)務(wù)連續(xù)性管理原理為基礎(chǔ)，建立起與我國(guó)社會(huì)主義安全發(fā)展理念相適應(yīng)的業(yè)務(wù)連續(xù)性管理體系運(yùn)行模式，以總體國(guó)家安全觀和公共安全體系建設(shè)來(lái)指導(dǎo)業(yè)務(wù)連續(xù)性管理實(shí)踐。

（作者單位：中國(guó)工商銀行內(nèi)部審計(jì)局西安分局，郵政編碼：710075，電子郵箱：43583904@qq.com）

3070500589251